Salta al contenuto

Crittografiamo

LetsEncrypt è un servizio che fornisce agli utenti certificati SSL / TLS gratuiti. Certbot è un client che lo rende facile da realizzare e automatizzare. Inoltre, ha plugin per Apache e Nginx che rendono ancora più semplice l'automazione della generazione di certificati.

Le istruzioni di installazione per la maggior parte delle distribuzioni Linux sono disponibili sul sito Web di Certbot.

 Crittografiamo Crittografiamo

Una volta installati i pacchetti, si è pronti per generare un nuovo certificato.

apache

Dopo aver installato Certbot e il plug-in Apache, la generazione del certificato viene eseguita con il seguente comando.

certbot con certezza --apache --noninteractive --agree-tos --email YOUR_EMAIL -d DOMAIN_NAME

Aggiornare le sezioni "SSLCertificateFile" e "SSLCertificateKeyFile", quindi riavviare il servizio.

Aggiungi un lavoro a cron in modo che il certificato venga rinnovato automaticamente.

echo "0 0 * * * root certbot rinnova --quiet --no-self-upgrade --post-hook $0027systemctl ricarica apache2$0027" | sudo tee -a /etc/cron.d/renew_certbot

HAProxy

HAProxy non ha attualmente un plug-in Certbot. Per evitare ciò, eseguire Certbot in modalità autonoma e il traffico proxy attraverso la rete.

Abilitare il frontend e il backend nella configurazione sopra, quindi eseguire Certbot.

certbot certonly --standalone --preferred-challenge http-01 --http-01-port 8888 --noninteractive --agree-tos --email YOUR_EMAIL -d DOMAIN_NAME

La porta può essere cambiata come preferisci, ma assicurati che le impostazioni HAProxy e il tuo comando Certbot corrispondano.

HAProxy deve avere il certificato e i file delle chiavi concatenati nello stesso file per poterlo leggere correttamente. Questo può essere realizzato con il seguente comando.

cat /etc/letsencrypt/live/domain_name/fullchain.pem /etc/letsencrypt/live/domain_name/privkey.pem

Abbattere il bind *: 443 e la sezione di reindirizzamento nelle impostazioni, quindi ricaricare il servizio.

Rinnovo automatico dei certificati

Metti il seguente script in / usr / local / bin / per aggiornare automaticamente il tuo certificato SSL.

SITO = DOMAIN_NAME# passa a quello corretto crittograferemo directorycd / etc / letsencrypt / live / $SITIO# file cat per fare .pem combinato per haproxycat fullchain.pem privkey.pem> /etc/ssl/$SITIO.pem1TPxer reload

Assicurarsi che lo script sia eseguibile.

chmod u + x /usr/local/bin/letsencrypt-renew.sh

Aggiungi un lavoro a cron in modo che il certificato venga rinnovato automaticamente.

@mensual / usr / bin / certbot renew --renew-hook "/usr/local/bin/letsencrypt-renew.sh"; /var/log/letsencrypt-renewal.log

nginx

Dopo aver installato Certbot e il plug-in Nginx con sudo apt installa certbot python3-certbot-nginx, genera il certificato.

sudo certbot --nginx --agree-tos --redirect --hsts --staple-ocsp --email YOUR_EMAIL -d YOUR_DOMAIN

Aggiungi il parametro --rsa-key-size 4096 se vuoi invece una chiave a 4096 bit.

Copia e incolla l'intero file di configurazione di esempio Nginx dall'alto, modificando i parametri in base alla tua configurazione e decommentando le linee.

Aggiungi un lavoro a cron in modo che il certificato venga rinnovato automaticamente.

echo "0 0 * * * root certbot rinnova --quiet --no-self-upgrade --post-hook $0027systemctl ricarica nginx$0027" | sudo tee -a /etc/cron.d/renew_certbot

it_ITItaliano
es_ESEspañol zh_CN简体中文 hi_INहिन्दी arالعربية pt_BRPortuguês do Brasil bn_BDবাংলা ru_RUРусский ja日本語 de_DEDeutsch fr_FRFrançais it_ITItaliano